Gerenciamento de Conformidades – Parte 2
Antes de entrarmos mais a fundo nos módulos desse guia, gostaria de passar uma visão geral de alguns tópicos introdutórios que irão ajudá-lo a tirar mais proveito desse material que disponibilizarei em partes aqui no meu blog.
A finalidade deste guia é ajudar sua organização a identificar e a planejar a implementação de softwares, ferramentas e soluções tecnologias disponíveis para lidar com requisitos de GRC usando uma estrutura de TI.
O guia oferece vários benefícios à sua organização. Ele mostra como você pode aplicar uma estrutura de controle a documentos de autoridade atuais e futuros, o que facilita e torna mais eficiente o processo de interpretação dos requisitos daqueles documentos. O guia também faz referência à orientação de configuração de soluções e de produtos de software que podem ajudá-lo a lidar com requisitos de GRC através da implementação de objetivos de controle de GRC encontrados para cada SMF dentro do MOF.
Declaração da Grant Thornton LLP
Grant Thornton LLPIT Compliance Management GuideA Microsoft, Inc. juntou-se à Grant Thornton LLP para fornecer orientações sobre como alinhar o Guia de Gerenciamento de Conformidade de TI com expectativas gerais de auditores, terminologia, conceitos e objetivos que podem ser aplicáveis a uma organização que gerencia requisitos de GRC (governança, gerenciamento de riscos e conformidade). A Grant Thornton participou como consultora e revisora do conteúdo deste guia.
Este guia contém as informações que capacitarão profissionais de TI a ter uma discussão bem-informada com seus especialistas em GRP, inclusive elementos de serviços legais e de auditoria. A visão geral do processo de auditoria e as descrições da terminologia e conceitos gerais de GRC permitirão que profissionais de TI possam participar ativamente nessas discussões. A pasta de trabalho associada fornece uma lista abrangente de recursos Microsoft que lidam com o planejamento de GRC e tópicos de configuração de produto relevantes aos profissionais de TI.
www.GrantThornton.com/IT-Compliance
A abordagem do Microsoft Solution Accelerator Team (SAT) à criação desta orientação incluiu um processo de desenvolvimento extensivo e colaborativo envolvendo usuários-piloto. Esse processo incluiu recomendações de auditores, especialistas em GRC e em produtos Microsoft, consultores e membros da comunidade técnica que enfrentam complexos requisitos de GRC dentro de suas organizações. Colheu-se feedback em várias reuniões de colaboração, análises e por solicitação pública. Reconhecendo a necessidade de manter-se orientação de GRC, a Microsoft estabeleceu um fórum para analisar o feedback contínuo de clientes e parceiros. O grupo do SAT também decidiu apoiar internamente solicitações de mudanças qualificadas em produtos Microsoft em que tais modificações ajudariam o cliente a satisfazer os requisitos de GRC.
A lista de documentos de autoridade de GRC escolhida representa uma ampla gama de controles que lidam com práticas financeiras, de privacidade de dados, de segurança e recomendadas aplicáveis a uma variedade de indústrias e de organizações internacionais. Embora a lista de documentos de autoridade de GRC possa não ser aplicável a todas as organizações, os controles por ela representados provavelmente partilharão objetivos de controle de GRC com outros documentos de autoridade de GRC internacionais e domésticos aplicáveis.
O MOF (Microsoft Operations Framework) aludido neste guia é uma estrutura racional e extensível através da qual uma organização pode gerenciar requisitos e soluções de GRC. Organizações podem beneficiar-se da flexibilidade da estrutura para gerenciar mudanças em sua infra-estrutura de TI para satisfazer requisitos de GRC aplicáveis. Para organizações que usam estruturas diferentes do MOF, como COSO ou ISO 27002, as SMFs (Service Management Functions - Funções de Gerenciamento de Serviços) do MOF lidam com muitos dos amplos requisitos dessas estruturas e também podem ser usadas como parte do kit de ferramentas geral de uma organização. Alcançar objetivos de conformidade específicos depende de muitos fatores e os leitores deste documento devem fazer sua própria avaliação independente de regulamentações relevantes e da aplicabilidade deste guia para seus fins.
Como com qualquer ferramenta, o uso das informações neste guia deve ser discutido com especialistas em GRC da organização para determinar como elas se enquadram nos esforços gerais da organização.
Aviso Importante: O objetivo desse material que irei disponibilizar em formato de posts é ajudá-lo a entender obrigações de conformidade típicas com que as organizações podem ter de lidar. Contudo, as regulamentações mudam e leis podem variar muito conforme o local e a indústria. Esta orientação não constitui aconselhamento legal e não substitui conselhos individualizados, legais ou outros, de um especialista em GRC. A Microsoft recomenda que você consulte sua equipe de conselheiros legais antes de decidir se implementa o processo nesta orientação para ajudá-lo a lidar com as obrigações de conformidade de sua organização.
Na parte 3 dessa série iremos ver como faremos para utilizar o conteúdo desse guia.
Um abraço,
Rodrigo Dias